Parece que los tiempos de agobio por la entrada en vigor de la nueva Directiva de protección de datos personales, han pasado a mejor vida, y ya poco se habla de este tema, imagino que hasta que las noticias relacionadas con posibles sanciones comiencen a aparecer. Sin embargo, en estos tiempos en los que los proyectos de Machine Learning comienzan a ser una realidad cada vez más palpable, es necesario tener claras cuales son las obligaciones que GDPR introduce, concretamente en el ámbito de la automatización de decisiones. Y no son pocas.

Dentro del texto de la ley, existen varias referencias a la toma de decisiones automáticas, utilizando patrones o técnicas de Machine Learning, pero con un lenguaje poco claro, que deja la puerta abierta a la interpretación de lo que realmente es necesario informar o no. Fundamentalmente con la aparición de GDPR, no queda claro si existe un “derecho a la explicación” o no para los usuarios. Está claro que hay que informar sobre si están utilizando técnicas de Machine Learning para realizar, por ejemplo, perfilados de usuarios, o tomas de decisiones de forma automática, como, por ejemplo, si otorgar un préstamo o no de forma automática con los datos proporcionados, pero los expertos no se ponen de acuerdo sobre si existe el derecho a que un usuario solicite información detallada acerca del por qué, por ejemplo, se le deniega ese préstamo.

Pero nada mejor que analizar un poco el texto de la ley para tener claro que es lo que debemos de implementar.

Para empezar entre los artículos 13 y 15 se definen el derecho del sujeto a comprender como se están utilizando sus datos. Estos artículos definen claramente que, si se van a tomar decisiones de forma automática, basándose en los datos proporcionados, el sujeto tiene el derecho a acceder a “información significativa sobre la lógica involucrada, así como la importancia y las consecuencias previstas de dicho procesamiento para el interesado.” Parece claro que al repetirse esta frase en varios apartados y con la misma redacción, el legislador quiere dejar constancia de la importancia de este punto, por lo que estamos obligados a proporcionar la usuaria dicha información.

Pero para tener una mejor idea de que quiere decir eso de “información significativa” y de la “importancia de las consecuencias” debemos de acudir a los artículos 21 y 22 que nos dan algo de perspectiva.  El resumen de ambos artículos aplicado a la toma de decisiones automática, hace especial hincapié en que el usuario debe de tener información suficiente como para poder “excluirse” de ese proceso automático y a que dicho proceso sea realizado de una forma no automática.

Pero el “problema” real lo encontramos en los “Recitals” de la ley, es decir, aquellos apartados no vinculantes, en los que el legislador quiere aclarar sus puntos de vista y dar mayor detalle sobre los puntos reflejados en los artículos. Y es aquí, en el Recital 71, en donde nos encontramos con la siguiente redacción “debe estar sujeta a las salvaguardias adecuadas, que deben incluir información específica al interesado y el derecho a obtener la intervención humana, para expresar su punto de vista, para obtener una explicación de la decisión alcanzada después de dicha evaluación y para desafiar la decisión.” Si llevamos esto a nuestro punto de vista en un proceso de toma decisión automática que utilice Algoritmos de Machine Learninig, ¿qué significa? Pues, desde mi modesto punto de vista, significa que, en los artículos de la ley, que son los que realmente nos obligan, debemos de explicarle al usuario la lógica del proceso y darle la posibilidad de “salirse” de ese proceso, mientras que el Recital, habría que explicar el por qué el algoritmo ha tomado una determinada decisión para un caso en concreto, lo que supone todo un reto. Recordemos que esto, al menos por el momento, no es obligatorio, puesto que no se exige ese nivel de transparencia en la ley. Desde este punto de vista, deberíamos de preparar una información de base que ayude a cumplir con la legislación. Esta información debería de contener:

  • Información técnica. Algoritmo utilizado, lógica de ese algoritmo de donde provienen los datos y cuantas características se están utilizando
  • Información de despliegue. ¿Cuándo, cómo y para qué se utiliza?
  • Educar al sujeto. Documentar los puntos anteriores para darle al sujeto la posibilidad de excluirse del proceso automático

Pero la pregunta del millón sería…. ¿dónde queda en este sentido el derecho a la protección de la Propiedad intelectual que podría tener la empresa que ha desarrollado ese proceso? Los tribunales decidirán, pero por el momento, es conveniente que al menos se proporcione la información básica enumerada anteriormente.